风险评鉴与管理程序书.docVIP

新民高級中學 風險評鑑管理程序書 機密等級：限閱 文件編號：-B-004 版 次：1.0 發行日期：2009/0/05 修　訂　紀　錄 版次 修訂日期 修訂頁次 修訂者 修訂內容摘要 1.0 2009/0/05 賴信安 初版 目錄 1 目的 1 2 適用範圍 1 3 權責 1 4 名詞定義 1 5 作業說明 2 6 相關文件 5 目的 建立（以下簡稱）資訊安全管理制度（以下簡稱ISMS）風險評鑑與管理規範，提供資訊資產之權責單位、保管單位使用單位，共同遵行之風險評鑑標準，有效執行風險控管，預防資訊安全事件之威脅。 適用範圍 資訊業務作業流程之風險管理。 權責 資訊安全委員會：負責可接受風險值、風險評鑑結果、風險改善計畫與控制措施。 資訊安全小組：負責相關資訊資產風險評鑑結果，並針對風險值超過可接受風險值之資訊資產，採取適當之控管措施，及產出「風險改善計畫表」。 權責單位主管：負責所屬單位業務範圍之風險評鑑結果審核作業。 資訊資產權責單位：負責執行資訊資產之威脅與弱點評估、風險值計算等程序項目。 名詞定義 機密性 (Confidentiality)確保授權人可存取資訊。 完整性 (Integrity)確保資訊與處理方法的正確性與完整性。 可用性 (Availability)確保經授權的使用者在需要時可以取得資訊及相關資產。 可接受風險值各類資訊資產之最低風險容忍度。 殘餘風險 (Residual Risk)在採用相關控制措施之後剩餘的風險。 威脅 (Threat)可能對系統或組織造成傷害之意外事件。 弱點 (Vulnerability)因資訊資產本身狀況或所處環境之下，可能受到威脅利用而造成資產受到損害之因子。 風險 (Risk)可能對團體或組織的資產發生損失或傷害的潛在威脅，通常利用弱點所產生之影響及發生可能性來衡量。 作業說明 鑑別資產 資訊資產應依據「資訊資產管理程序書」進行鑑別及分類。 鑑別風險 威脅暨弱點評估 威脅成功利用弱點影響資訊資產運作或造成損失的狀況稱為事件。 將資訊資產清單中，各類資訊資產依下列，建立威脅弱點評估表： 人員People / PE）：包含因人員有意或無意行為、人力資源管理不當所產生之風險。 文件Document / DC）：包含資料、文件之建立、維護、控管、傳遞之不當所產生之風險。軟體Software / SW）：包含系統設計、維護、操作之不當所產生之風險。 通訊Communication / CM）：包含資料、影像、聲音傳輸媒介失效等所可能產生之風險。硬體Hardware / HW）：包含所有硬體設施之失效、損毀等可能風險。 資料Data / DA）：儲存於硬碟、磁帶、光碟等儲存媒介之數位資訊。 環境Environment / EV）：包含天災、供水、用電、空調等，整體資訊環境，可能發生之風險。 事件發生機率與影響程度評估 依等級對應表表1評估各事件： 表1 事件發生可能性/等級對應表評估標準 每季發生一次 每月發生一次 中 2 每週發生一次 高  依等級對應表表2評估各事件： 表2 等級對應表 評估標準 評估值 該弱點不容易被威脅利用 低 1 中 2 高 3 風險值的計算 評估事件發生機率及影響程度後，計算出風險值。 風險值=（資訊資產價值） 風險評估彙整表 將上述評估資料彙整後產生「風險評彙整表」。 將「風險評彙整表」提交資訊安全小組開會審議。 確認風險評估結果經完成鑑別資產及其相關風險，並產出「風險評彙整表」後，彙整相關綜合風險值，產出「風險評鑑報告」，提供資訊安全小組作為風險管理之依據。 風險管理 可接受風險值的決定 資訊資產之可接受風險值，需經資訊安全小組開會決議，並記載於會議紀錄中。 資訊安全小組每年召開會議檢討可接受風險值。可接受風險考量組織環境及作業之安全需求適當調整。 選擇控制措施 資訊安全小組應檢視「風險評鑑報告」及「風險評彙整表」。若風險值超出可接受風險值之資訊資產，應參考「教育體系資通安全管理規範」選擇適當之控管措施，產出「風險改善計畫表」及「適用性聲明書」，說明風險控管措施之執行辦法。 「風險改善計畫表」應陳報資訊安全委員會開會審核，並列入追蹤管理程序。 風險改善狀況的後續追蹤 對風險改善計畫應彙整控管，持續追蹤改善。 應於各風險改善措施完成後，進行風險再評估，以確保相關改善措施的有效性。 覆核 監控控制措施的實施必須建立相對應的指標或紀錄，以反出控制措施實施的狀況及成效，便於管理階層及相關人員做定期或不定期審視。 持續